Positive Technologies усиливает SIEM-систему против современных атак.
Компания Positive Technologies анонсировала обновление для своей системы мониторинга событий информационной безопасности и управления инцидентами MaxPatrol SIEM . В продукт было интегрировано около 70 новых правил для обнаружения киберугроз, а также введены дополнительные механизмы, облегчающие работу аналитиков и существенно сокращающие время на расследование инцидентов.
Наибольшие изменения коснулись правил, направленных на выявление атак на Active Directory. Обновление охватывает такие тактики, как «Первоначальный доступ», «Выполнение», «Повышение привилегий», «Предотвращение обнаружения» и «Доступ к учетным данным». Новые правила позволят обнаруживать как новые методы атак, например, использование утилиты SOAPHound, так и давно известные техники.
В компании отметили, что угрозы, для которых разработаны новые правила, требуют немедленного реагирования. Новые механизмы обогащения позволяют дополнять корреляционные и нормализованные события полезной информацией об индикаторах компрометации, что акцентирует внимание оператора на наиболее важных из них и ускоряет процесс валидации подозрительных событий.
Правила обнаружения киберугроз, добавленные в MaxPatrol SIEM, позволят выявить:
Дополнительно в продукт введены механизмы, дополняющие нормализованные события ИБ индикаторами компрометации, повышая точность обнаружения киберугроз. В MaxPatrol SIEM также появилась функция автоматического извлечения URL-адресов из командной строки для всех корреляционных событий. Эти возможности помогают специалистам быстрее собирать информацию и сократить время на анализ каждого инцидента.
Для использования новых правил и возможностей MaxPatrol SIEM необходимо установить правила из пакета экспертизы (доступны для всех версий системы, начиная с версии 7.2)
Ладно, не доказали. Но мы работаем над этим